Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Création de politiques d'organisation avec AWS Organizations
Après avoir [activé les politiques](enable-policy-type.md) pour votre organisation, vous pouvez créer une politique.
Cette rubrique décrit comment créer des politiques avec AWS Organizations. Une *politique* définit les contrôles que vous souhaitez appliquer à un groupe de Comptes AWS.
**Topics**
+ [
## Création d'une politique de contrôle des services (SCP)
](#create-an-scp)
+ [
## Création d'une politique de contrôle des ressources (RCP)
](#create-an-rcp)
+ [
## Création d'une politique déclarative
](#create-declarative-policy-procedure)
+ [
## Création d'une politique de sauvegarde
](#create-backup-policy-procedure)
+ [
## Création d'une politique en matière de balises
](#create-tag-policy-procedure)
+ [
## Création d'une politique pour les applications de chat
](#create-chatbot-policy-procedure)
+ [
## Créer une politique de désinscription des services d'IA
](#create-ai-opt-out-policy-procedure)
+ [
## Création d'une politique de déploiement des mises à niveau
](#create-upgrade-rollout-policy-procedure)
+ [
## Création d'une politique Security Hub
](#create-security-hub-policy-procedure)
## Création d'une politique de contrôle des services (SCP)
**Autorisations minimales**
Pour créer SCPs, vous devez être autorisé à exécuter l'action suivante :
`organizations:CreatePolicy`
------
#### [ AWS Management Console ]
**Pour créer une politique de contrôle des services**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Sur la page **[Politiques de contrôle des services](https://console.aws.amazon.com/organizations/v2/home/policies/service-control-policy)**, choisissez **Créer une politique**.
1. Dans la [page **Créer une politique de contrôle des services**](https://console.aws.amazon.com/organizations/home/policies/service-control/create), saisissez un **Nom de politique** et éventuellement une **Description de la politique**.
1. (Facultatif) Ajoutez une ou plusieurs balises en choisissant **Ajouter une balise**, puis en saisissant une clé et éventuellement une valeur. Laisser la valeur vide la définit à une chaîne vide ; elle ne prend pas la valeur `null`. Vous pouvez attacher jusqu'à 50 balises à une politique. Pour de plus amples informations, consultez [Ressources de balisage AWS OrganizationsConsidérations](orgs_tagging.md).
**Note**
Dans la plupart des étapes qui suivent, nous discutons de l'utilisation des contrôles sur le côté droit de l'éditeur JSON pour construire la politique, élément par élément. Alternativement, vous pouvez, à tout moment, simplement saisir du texte dans l'éditeur JSON sur le côté gauche de la fenêtre. Vous pouvez taper directement ou procéder par copier-coller.
1. Pour créer la politique, les étapes ultérieures varient selon que vous souhaitez ajouter une instruction qui [refuse](orgs_manage_policies_scps_evaluation.md#how_scps_deny) ou [autorise](orgs_manage_policies_scps_evaluation.md#how_scps_allow) l'accès. Pour de plus amples informations, veuillez consulter [Évaluation du SCP](orgs_manage_policies_scps_evaluation.md). Si vous utilisez `Deny` des instructions, vous disposez d'un contrôle supplémentaire car vous pouvez restreindre l'accès à des ressources spécifiques, définir SCPs les conditions d'entrée en vigueur et utiliser l'[NotAction](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_notaction.html)élément. Pour de plus amples informations sur la syntaxe, consultez [Syntaxe d’une stratégie de contrôle de service](orgs_manage_policies_scps_syntax.md).
Pour ajouter une instruction qui *refuse* l'accès :
1. Dans le volet droit **Modifier le relevé** de l'éditeur, sous **Ajouter des actions**, sélectionnez un AWS service.
À mesure que vous choisissez des options sur la droite, l'éditeur JSON est mis à jour pour afficher la politique JSON correspondante à gauche.
1. Lorsque vous sélectionnez un service, une liste s'ouvre qui contient les actions disponibles pour ce service. Vous pouvez choisir **Toutes les actions** ou choisir une ou plusieurs actions individuelles que vous souhaitez refuser.
L'éditeur JSON situé à gauche se met à jour pour inclure les actions que vous avez sélectionnées.
**Note**
Si vous sélectionnez une action individuelle, puis revenez en arrière et sélectionnez également **Toutes les actions**, l'entrée attendue pour `servicename:*` est ajoutée au JSON, mais les actions individuelles que vous avez précédemment sélectionnées sont laissées dans le JSON et ne sont pas supprimées.
1. Si vous souhaitez ajouter des actions à partir de services supplémentaires, vous pouvez choisir **Tous les services** en haut de la zone **Instruction**, puis répéter les deux étapes précédentes selon vos besoins.
1. Spécifiez les ressources à inclure dans l'instruction.
+ À côté de **Ajouter une ressource**, choisissez **Ajouter**.
+ Dans la boîte de dialogue **Ajouter une ressource**, choisissez dans la liste le service dont les ressources doivent être contrôlées. Vous ne pouvez choisir que parmi les services que vous avez sélectionnés à l'étape précédente.
+ Sous **Type de ressource**, choisissez le type de ressource que vous souhaitez contrôler.
+ Enfin, complétez l'Amazon Resource Name (ARN) dans **ARN de la ressource** pour identifier la ressource spécifique dont vous souhaitez contrôler l'accès. Vous devez remplacer tous les espaces réservés qui sont entourés d'accolades `{}`. Vous pouvez spécifier des caractères génériques (`*`) là où la syntaxe ARN de ce type de ressource le permet. Reportez-vous à la documentation d'un type de ressource spécifique pour plus d'informations sur l'emplacement où vous pouvez utiliser des caractères génériques.
+ Enregistrez votre ajout à la politique en choisissant **Ajouter la ressource**. L'élément `Resource` dans le JSON reflète vos ajouts ou modifications. L'élément **Ressource** est obligatoire.
**Astuce**
Pour spécifier toutes les ressources pour le service sélectionné, choisissez **Toutes les ressources** dans la liste ou modifiez directement l'instruction `Resource` dans le JSON pour lire `"Resource":"*"`.
1. (Facultatif) Pour spécifier des conditions qui limitent le moment où une instruction de politique est en vigueur, à côté de **Ajouter une condition**, choisissez **Ajouter**.
+ **Clé de condition** : dans la liste, vous pouvez choisir n'importe quelle clé de condition disponible pour tous les AWS services (par exemple,`aws:SourceIp`) ou une clé spécifique au service pour un seul des services que vous avez sélectionnés pour cette instruction.
+ **Qualificateur** — (Facultatif) Lorsque la demande comporte plusieurs valeurs pour une clé de contexte à valeurs multiples, vous pouvez spécifier un [qualificatif](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html) pour tester les demandes par rapport aux valeurs. Pour plus d'informations, reportez-vous à la section [Clés contextuelles à valeur unique ou à valeurs multiples](reference_policies_condition-single-vs-multi-valued-context-keys.html) dans le guide de l'utilisateur *IAM*. Pour vérifier si une demande peut avoir plusieurs valeurs, consultez les [actions, les ressources et les clés de condition Services AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) dans la *référence d'autorisation de service*.
+ **Par défaut** – Teste une valeur unique de la demande par rapport à la valeur de la clé de condition de la politique. La condition renvoie la valeur Vrai si la valeur dans la demande correspond à la valeur de la politique. Si la politique spécifie plusieurs valeurs, elles sont traitées comme un test « ou » et la condition renvoie Vrai si les valeurs de la demande correspondent à l'une des valeurs de la politique.
+ **Pour n'importe quelle valeur dans une demande** – Lorsque la demande peut avoir plusieurs valeurs, cette option teste si *au moins une* des valeurs de demande correspond à au moins l'une des valeurs de clé de condition de la politique. La condition renvoie la valeur Vrai si l'une des valeurs de clé de la demande correspond à l'une des valeurs de condition de la politique. Si aucune clé ne correspond ou si l'ensemble de données est inexistant (null), la condition renvoie la valeur Faux.
+ **Pour toutes les valeurs d'une demande** – Lorsque la demande peut avoir plusieurs valeurs, cette option teste si *chaque* valeur de la demande correspond à une valeur de clé de condition dans la politique. La condition renvoie la valeur Vrai si chaque valeur de clé de la demande correspond à au moins une valeur de la politique. Elle renvoie également la valeur Vrai si la demande ne comprend pas de clés ou si les valeurs de clé aboutissent à un ensemble de données nul, tel qu'une chaîne vide.
+ **Opérateur** – L'[opérateur](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)spécifie le type de comparaison à effectuer. Les options présentées dépendent du type de données de la clé de condition. Par exemple, la clé de condition globale `aws:CurrentTime` vous permet de choisir parmi l'un des opérateurs de comparaison de dates ou `Null`, que vous pouvez utiliser pour tester si la valeur est présente dans la demande.
Pour n'importe quel opérateur de condition, à l'exception du `Null` test, vous pouvez choisir l'[IfExists](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IfExists)option.
+ **Valeur** – (Facultatif) Spécifiez une ou plusieurs valeurs pour lesquelles vous souhaitez tester la demande.
Choisissez **Ajouter une condition**.
Pour de plus amples informations sur les clés de condition, consultez [Éléments de politique JSON IAM : Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l'utilisateur IAM*.
1. Pour ajouter une instruction qui *autorise* l'accès :
1. Dans l'éditeur JSON à gauche, changez la ligne `"Effect": "Deny"` en `"Effect": "Allow"`.
À mesure que vous choisissez des options sur la droite, l'éditeur JSON est mis à jour pour afficher la politique JSON correspondante à gauche.
1. Lorsque vous sélectionnez un service, une liste s'ouvre qui contient les actions disponibles pour ce service. Vous pouvez choisir **Toutes les actions** ou choisir une ou plusieurs actions individuelles que vous souhaitez autoriser.
L'éditeur JSON situé à gauche se met à jour pour inclure les actions que vous avez sélectionnées.
**Note**
Si vous sélectionnez une action individuelle, puis revenez en arrière et sélectionnez également **Toutes les actions**, l'entrée attendue pour `servicename:*` est ajoutée au JSON, mais les actions individuelles que vous avez précédemment sélectionnées sont laissées dans le JSON et ne sont pas supprimées.
1. Si vous souhaitez ajouter des actions à partir de services supplémentaires, vous pouvez choisir **Tous les services** en haut de la zone **Instruction**, puis répéter les deux étapes précédentes selon vos besoins.
1. (Facultatif) Pour ajouter une instruction supplémentaire à la politique, choisissez **Ajouter une instruction)** et utilisez l'éditeur visuel pour créer la prochaine instruction.
1. Lorsque vous avez fini d'ajouter des instructions, choisissez **Créer la politique)** pour enregistrer la politique de contrôle des services (SCP) achevée.
Votre nouvelle politique SCP s'affiche dans la liste des politiques de l'organisation. Vous pouvez désormais [associer votre SCP à la racine ou aux comptes](orgs_policies_attach.md). OUs
------
#### [ AWS CLI & AWS SDKs ]
**Pour créer une politique de contrôle des services**
Vous pouvez utiliser l'une des commandes suivantes pour créer une politique SCP :
+ AWS CLI : [create-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/create-policy.html)
L'exemple suivant suppose que vous disposez d'un fichier nommé `Deny-IAM.json` contenant le texte de politique JSON. Il utilise ce fichier pour créer une nouvelle politique de contrôle des services.
```
$ aws organizations create-policy \
--content file://Deny-IAM.json \
--description "Deny all IAM actions" \
--name DenyIAMSCP \
--type SERVICE_CONTROL_POLICY
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/service_control_policy/p-i9j8k7l6m5",
"Name": "DenyIAMSCP",
"Description": "Deny all IAM actions",
"Type": "SERVICE_CONTROL_POLICY",
"AwsManaged": false
},
"Content": "{\"Version\":\"2012-10-17\", \"Statement\":[{\"Sid\":\"Statement1\",\"Effect\":\"Deny\",\"Action\":[\"iam:*\"],\"Resource\":[\"*\"]}]}"
}
}
```
+ AWS SDKs: [CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)
------
**Note**
SCPs n'ont aucun effet sur le compte de gestion et dans quelques autres situations. Pour de plus amples informations, veuillez consulter [Tâches et entités non limitées par SCPs](orgs_manage_policies_scps.md#not-restricted-by-scp).
## Création d'une politique de contrôle des ressources (RCP)
**Autorisations minimales**
Pour créer RCPs, vous devez être autorisé à exécuter l'action suivante :
`organizations:CreatePolicy`
------
#### [ AWS Management Console ]
**Pour créer une politique de contrôle des ressources**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Sur la page **Stratégie de contrôle des ressources**, choisissez **Créer une politique**.
1. Sur la [page **Créer une nouvelle stratégie de contrôle des ressources**](https://console.aws.amazon.com/organizations/home/policies/service-control/create), entrez le **nom de la stratégie** et une **description de la stratégie** facultative.
1. (Facultatif) Ajoutez une ou plusieurs balises en choisissant **Ajouter une balise**, puis en saisissant une clé et éventuellement une valeur. Laisser la valeur vide la définit à une chaîne vide ; elle ne prend pas la valeur `null`. Vous pouvez attacher jusqu'à 50 balises à une politique. Pour de plus amples informations, consultez [Ressources de balisage AWS OrganizationsConsidérations](orgs_tagging.md).
**Note**
Dans la plupart des étapes qui suivent, nous discutons de l'utilisation des contrôles sur le côté droit de l'éditeur JSON pour construire la politique, élément par élément. Alternativement, vous pouvez, à tout moment, simplement saisir du texte dans l'éditeur JSON sur le côté gauche de la fenêtre. Vous pouvez taper directement ou procéder par copier-coller.
1. Pour ajouter une déclaration, procédez comme suit :
1. Dans le volet droit **Modifier le relevé** de l'éditeur, sous **Ajouter des actions**, sélectionnez un AWS service.
À mesure que vous choisissez des options sur la droite, l'éditeur JSON est mis à jour pour afficher la politique JSON correspondante à gauche.
1. Lorsque vous sélectionnez un service, une liste s'ouvre qui contient les actions disponibles pour ce service. Vous pouvez choisir **Toutes les actions** ou choisir une ou plusieurs actions individuelles que vous souhaitez refuser.
L'éditeur JSON situé à gauche se met à jour pour inclure les actions que vous avez sélectionnées.
**Note**
Si vous sélectionnez une action individuelle, puis revenez en arrière et sélectionnez également **Toutes les actions**, l'entrée attendue pour `servicename:*` est ajoutée au JSON, mais les actions individuelles que vous avez précédemment sélectionnées sont laissées dans le JSON et ne sont pas supprimées.
1. Si vous souhaitez ajouter des actions à partir de services supplémentaires, vous pouvez choisir **Tous les services** en haut de la zone **Instruction**, puis répéter les deux étapes précédentes selon vos besoins.
1. Spécifiez les ressources à inclure dans l'instruction.
+ À côté de **Ajouter une ressource**, choisissez **Ajouter**.
+ Dans la boîte de dialogue **Ajouter une ressource**, choisissez dans la liste le service dont les ressources doivent être contrôlées. Vous ne pouvez choisir que parmi les services que vous avez sélectionnés à l'étape précédente.
+ Sous **Type de ressource**, choisissez le type de ressource que vous souhaitez contrôler.
+ Renseignez le nom de la ressource Amazon (**ARN) dans Resource ARN** pour identifier la ressource spécifique à laquelle vous souhaitez contrôler l'accès. Vous devez remplacer tous les espaces réservés qui sont entourés d'accolades `{}`. Vous pouvez spécifier des caractères génériques (`*`) là où la syntaxe ARN de ce type de ressource le permet. Consultez la [documentation](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html#reference_policies_elements_resource_wildcards) d'un type de ressource spécifique pour savoir où vous pouvez utiliser des caractères génériques.
+ Enregistrez votre ajout à la politique en choisissant **Ajouter la ressource**. L'élément `Resource` dans le JSON reflète vos ajouts ou modifications. L'élément **Ressource** est obligatoire.
**Astuce**
Pour spécifier toutes les ressources pour le service sélectionné, choisissez **Toutes les ressources** dans la liste ou modifiez directement l'instruction `Resource` dans le JSON pour lire `"Resource":"*"`.
1. (Facultatif) Pour spécifier des conditions qui limitent le moment où une instruction de politique est en vigueur, à côté de **Ajouter une condition**, choisissez **Ajouter**.
+ **Clé de condition** : dans la liste, vous pouvez choisir n'importe quelle clé de condition disponible pour tous les AWS services (par exemple,`aws:SourceIp`) ou une clé spécifique au service pour un seul des services que vous avez sélectionnés pour cette instruction.
+ **Qualificateur** — (Facultatif) Lorsque la demande comporte plusieurs valeurs pour une clé de contexte à valeurs multiples, vous pouvez spécifier un [qualificatif](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html) pour tester les demandes par rapport aux valeurs. Pour plus d'informations, reportez-vous à la section [Clés contextuelles à valeur unique ou à valeurs multiples](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-single-vs-multi-valued-context-keys.html) dans le guide de l'utilisateur *IAM*. Pour vérifier si une demande peut avoir plusieurs valeurs, consultez les [actions, les ressources et les clés de condition Services AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) dans la *référence d'autorisation de service*.
+ **Par défaut** – Teste une valeur unique de la demande par rapport à la valeur de la clé de condition de la politique. La condition renvoie la valeur Vrai si la valeur dans la demande correspond à la valeur de la politique. Si la politique spécifie plusieurs valeurs, elles sont traitées comme un test « ou » et la condition renvoie Vrai si les valeurs de la demande correspondent à l'une des valeurs de la politique.
+ **Pour n'importe quelle valeur dans une demande** – Lorsque la demande peut avoir plusieurs valeurs, cette option teste si *au moins une* des valeurs de demande correspond à au moins l'une des valeurs de clé de condition de la politique. La condition renvoie la valeur Vrai si l'une des valeurs de clé de la demande correspond à l'une des valeurs de condition de la politique. Si aucune clé ne correspond ou si l'ensemble de données est inexistant (null), la condition renvoie la valeur Faux.
+ **Pour toutes les valeurs d'une demande** – Lorsque la demande peut avoir plusieurs valeurs, cette option teste si *chaque* valeur de la demande correspond à une valeur de clé de condition dans la politique. La condition renvoie la valeur Vrai si chaque valeur de clé de la demande correspond à au moins une valeur de la politique. Elle renvoie également la valeur Vrai si la demande ne comprend pas de clés ou si les valeurs de clé aboutissent à un ensemble de données nul, tel qu'une chaîne vide.
+ **Opérateur** – L'[opérateur](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)spécifie le type de comparaison à effectuer. Les options présentées dépendent du type de données de la clé de condition. Par exemple, la clé de condition globale `aws:CurrentTime` vous permet de choisir parmi l'un des opérateurs de comparaison de dates ou `Null`, que vous pouvez utiliser pour tester si la valeur est présente dans la demande.
Pour n'importe quel opérateur de condition, à l'exception du `Null` test, vous pouvez choisir l'[IfExists](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IfExists)option.
+ **Valeur** – (Facultatif) Spécifiez une ou plusieurs valeurs pour lesquelles vous souhaitez tester la demande.
Choisissez **Ajouter une condition**.
Pour de plus amples informations sur les clés de condition, consultez [Éléments de politique JSON IAM : Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l'utilisateur IAM*.
1. (Facultatif) Pour utiliser l'élément `NotAction` afin de refuser l'accès à toutes les actions ***à l'exception*** de celles que vous avez spécifiées, remplacez `Action` dans le panneau de gauche par `NotAction`, juste après l'élément `"Effect": "Deny",`. Pour plus d'informations, consultez la section [Éléments de politique JSON IAM : NotAction](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_notaction.html) dans le guide de l'*utilisateur IAM*.
1. (Facultatif) Pour ajouter une instruction supplémentaire à la politique, choisissez **Ajouter une instruction)** et utilisez l'éditeur visuel pour créer la prochaine instruction.
1. Lorsque vous avez terminé d'ajouter des instructions, choisissez **Create policy** pour enregistrer le RCP terminé.
Votre nouveau RCP apparaît dans la liste des politiques de l'organisation. Vous pouvez désormais [associer votre RCP à la racine ou aux comptes](orgs_policies_attach.md). OUs
------
#### [ AWS CLI & AWS SDKs ]
**Pour créer une politique de contrôle des ressources**
Vous pouvez utiliser l'une des commandes suivantes pour créer un RCP :
+ AWS CLI : [create-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/create-policy.html)
L'exemple suivant suppose que vous disposez d'un fichier nommé `Deny-IAM.json` contenant le texte de politique JSON. Il utilise ce fichier pour créer une nouvelle politique de contrôle des ressources.
```
$ aws organizations create-policy \
--content file://Deny-IAM.json \
--description "Deny all IAM actions" \
--name DenyIAMRCP \
--type RESOURCE_CONTROL_POLICY
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/resource_control_policy/p-i9j8k7l6m5",
"Name": "DenyIAMRCP",
"Description": "Deny all IAM actions",
"Type": "RESOURCE_CONTROL_POLICY",
"AwsManaged": false
},
"Content": "{\"Version\":\"2012-10-17\", \"Statement\":[{\"Sid\":\"Statement1\",\"Effect\":\"Deny\",\"Action\":[\"iam:*\"],\"Resource\":[\"*\"]}]}"
}
}
```
+ AWS SDKs: [CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)
------
**Note**
RCPs n'ont aucun effet sur le compte de gestion et dans quelques autres situations. Pour de plus amples informations, veuillez consulter [Ressources et entités non limitées par RCPs](orgs_manage_policies_rcps.md#actions-not-restricted-by-rcps).
## Création d'une politique déclarative
**Autorisations minimales**
Pour créer une politique déclarative, vous devez être autorisé à exécuter l'action suivante :
`organizations:CreatePolicy`
------
#### [ AWS Management Console ]
**Pour créer une politique déclarative**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Sur la page **[Politiques déclaratives](https://console.aws.amazon.com/organizations/v2/home/policies/declarative-policy-ec2)**, choisissez **Créer une politique**.
1. Sur la [page **Créer une nouvelle politique déclarative pour EC2**](https://console.aws.amazon.com/organizations/v2/home/policies/declarative-policy-ec2/create), entrez le **nom de la politique** et une description de la **politique** facultative.
1. (Facultatif) Vous pouvez ajouter une ou plusieurs balises à la politique en choisissant **Ajouter une balise**, puis en saisissant une clé et éventuellement une valeur. Laisser la valeur vide la définit à une chaîne vide ; elle ne prend pas la valeur `null`. Vous pouvez attacher jusqu'à 50 balises à une politique. Pour de plus amples informations, veuillez consulter [Ressources de balisage AWS OrganizationsConsidérations](orgs_tagging.md).
1. Vous pouvez créer la politique à l'aide de l'**Éditeur visuel**, de la manière décrite dans cette procédure. Vous pouvez également taper ou coller du texte de politique dans l'onglet **JSON**. Pour plus d'informations sur la syntaxe des politiques déclaratives, consultez[Syntaxe de politique déclarative et exemples](orgs_manage_policies_declarative_syntax.md).
Si vous choisissez d'utiliser l'**éditeur visuel**, sélectionnez l'attribut de service que vous souhaitez inclure dans votre politique déclarative. Pour de plus amples informations, veuillez consulter [Supporté Services AWS et attributs](orgs_manage_policies_declarative.md#orgs_manage_policies_declarative-supported-controls).
1. Choisissez **Ajouter un attribut de service**, puis configurez l'attribut selon vos spécifications. Pour des informations plus détaillées sur chaque effet, voir[Syntaxe de politique déclarative et exemples](orgs_manage_policies_declarative_syntax.md).
1. Lorsque vous avez terminé la modification de votre politique, choisissez **Créer la politique** dans l'angle inférieur droit de la page.
------
#### [ AWS CLI & AWS SDKs ]
**Pour créer une politique déclarative**
Vous pouvez utiliser l'une des méthodes suivantes pour créer une politique déclarative :
+ AWS CLI : [create-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/create-policy.html)
1. Créez une politique déclarative comme la suivante et stockez-la dans un fichier texte.
```
{
"ec2_attributes": {
"image_block_public_access": {
"state": {
"@@assign": "block_new_sharing"
}
}
}
}
```
Cette politique déclarative précise que tous les comptes concernés par la politique doivent être configurés de telle sorte que les nouvelles Amazon Machine Images (AMIs) ne soient pas partageables publiquement. Pour plus d'informations sur la syntaxe des politiques déclaratives, consultez[Syntaxe de politique déclarative et exemples](orgs_manage_policies_declarative_syntax.md).
1. Importez le fichier de politique JSON pour créer une nouvelle politique dans l'organisation. Dans cet exemple, le fichier JSON précédent était nommé `policy.json`.
```
$ aws organizations create-policy \
--type DECLARATIVE_POLICY_EC2 \
--name "MyTestPolicy" \
--description "My test policy" \
--content file://policy.json
{
"Policy": {
"Content": "{"ec2_attributes":{"image_block_public_access":{"state":{"@@assign":"block_new_sharing"}}}}".
"PolicySummary": {
"Id": "p-i9j8k7l6m5"
"Arn": "arn:aws:organizations::o-aa111bb222:policy/declarative_policy_ec2/p-i9j8k7l6m5",
"Description": "My test policy",
"Name": "MyTestPolicy",
"Type": "DECLARATIVE_POLICY_EC2"
}
}
}
```
+ AWS SDKs: [CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)
------
**Suite des opérations**
Après avoir créé une politique déclarative, évaluez l'état de préparation à l'aide du [rapport sur l'état du compte](orgs_manage_policies_declarative.md#orgs_manage_policies_declarative-account-status-report). Vous pouvez ensuite appliquer vos configurations de base. Pour ce faire, vous pouvez [associer la politique](orgs_policies_attach.md) à la racine de l'organisation, aux unités organisationnelles (OUs), Comptes AWS au sein de votre organisation, ou à une combinaison de ces éléments.
## Création d'une politique de sauvegarde
**Autorisations minimales**
Pour créer une politique de sauvegarde, vous devez posséder l'autorisation d'exécuter l'action suivante :
`organizations:CreatePolicy`
------
#### [ AWS Management Console ]
Vous pouvez créer une politique de sauvegarde AWS Management Console dans le de l'une des deux manières suivantes :
+ Un éditeur visuel qui vous permet de choisir des options et de générer le texte de politique JSON pour vous.
+ Un éditeur de texte qui vous permet de créer directement le texte de politique JSON.
L'éditeur visuel facilite le processus, mais limite votre flexibilité. C'est un excellent moyen de créer vos premières politiques et de les utiliser facilement. Une fois que vous avez compris leur fonctionnement et que vous avez commencé à éprouver les limites de l'éditeur visuel, vous pouvez ajouter des fonctionnalités avancées à vos politiques en modifiant vous-même le texte de la politique JSON. L'éditeur visuel utilise uniquement l'[opérateur de réglage de valeur @@assign](policy-operators.md#value-setting-operators) et ne fournit aucun accès aux [opérateurs de contrôle enfants](policy-operators.md#child-control-operators). Vous pouvez ajouter les opérateurs de contrôle enfants uniquement si vous modifiez manuellement le texte de la politique JSON.
**Pour créer une politique de sauvegarde**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Sur la page **[Politiques de sauvegarde](https://console.aws.amazon.com/organizations/v2/home/policies/backup-policy)**, choisissez **Créer une politique**.
1. Dans la page **Créer une politique**, saisissez un ****Nom de politique**** et une **description** facultative pour la politique.
1. (Facultatif) Vous pouvez ajouter une ou plusieurs balises à la politique en choisissant **Ajouter une balise**, puis en saisissant une clé et éventuellement une valeur. Laisser la valeur vide la définit à une chaîne vide ; elle ne prend pas la valeur `null`. Vous pouvez attacher jusqu'à 50 balises à une politique. Pour plus d’informations sur le balisage, consultez [Ressources de balisage AWS OrganizationsConsidérations](orgs_tagging.md).
1. Vous pouvez créer la politique à l'aide de l'**Éditeur visuel**, de la manière décrite dans cette procédure. Vous pouvez également taper ou coller du texte de politique dans l'onglet **JSON**. Pour de plus amples informations sur la syntaxe des politiques de sauvegarde, consultez [Syntaxe et exemples d'une politique de sauvegarde](orgs_manage_policies_backup_syntax.md).
Si vous choisissez d'utiliser l’**Éditeur visuel**, sélectionnez les options de sauvegarde appropriées à votre scénario. Un plan de sauvegarde se compose de trois parties. Pour de plus amples informations sur ces éléments d'un plan de sauvegarde, consultez [Création d'un plan de sauvegarde](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html) et [Affectation de ressources](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html) dans le *Guide du développeur AWS Backup *.
1. Détails généraux d'un plan de sauvegarde
+ Le **Nom du plan de sauvegarde** peut uniquement contenir des caractères alphanumériques, des traits d'union et de soulignement.
+ Vous devez sélectionner au moins une **Région du plan de sauvegarde** dans la liste. Le plan peut sauvegarder des ressources uniquement dans les Régions AWS sélectionnées.
1. Une ou plusieurs règles de sauvegarde qui spécifient comment et quand AWS Backup doit fonctionner. Chaque règle de sauvegarde définit les éléments suivants :
+ Une planification qui inclut la fréquence de la sauvegarde et la fenêtre horaire pendant laquelle la sauvegarde peut se produire.
+ Le nom du coffre-fort de sauvegarde à utiliser. Le **Nom du coffre-fort de sauvegarde** peut uniquement contenir des caractères alphanumériques, des traits d'union et de soulignement. Le coffre-fort de sauvegarde doit exister avant que le plan puisse s'exécuter correctement. Créez le coffre à l'aide de la AWS Backup console ou AWS CLI des commandes.
+ (Facultatif) Une ou plusieurs règles **Copier vers une région** pour copier également la sauvegarde dans des coffres-forts d'autres régions Régions AWS.
+ Une ou plusieurs paires de clés et de valeurs de balises à attacher aux points de restauration de sauvegarde créés à chaque exécution de ce plan de sauvegarde.
+ Des options de cycle de vie qui spécifient le moment des transitions de la sauvegarde vers le stockage à froid et sa date d'expiration.
Choisissez **Ajouter une règle** pour ajouter au plan chaque règle dont vous avez besoin.
Pour plus d'informations sur les règles de sauvegarde, consultez [Règles de sauvegarde](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html#backup-rules) dans le *Guide du développeur AWS Backup *.
1. Une affectation de ressources qui spécifie celles que AWS Backup doit sauvegarder avec ce plan. L'attribution est effectuée en spécifiant les paires de balises qui permettent AWS Backup de rechercher et de faire correspondre les ressources.
+ Le **Nom de l’affectation de ressources** peut uniquement contenir des caractères alphanumériques, des traits d'union et de soulignement.
+ Spécifiez le **rôle IAM** que AWS Backup doit utiliser pour effectuer la sauvegarde par son nom.
Dans la console, vous ne spécifiez pas l'ARN (Amazon Resource Name) entier. Vous devez inclure à la fois le nom du rôle et son préfixe qui spécifie le type de rôle. Les préfixes sont généralement `role` ou `service-role`, et ils sont séparés du nom du rôle par une barre oblique ('/'). Par exemple, vous pouvez saisir `role/MyRoleName` ou `service-role/MyManagedRoleName`. Il est converti en un ARN complet pour vous lorsqu'il est stocké dans le JSON sous-jacent.
**Important**
Le rôle IAM spécifié doit déjà exister dans le compte auquel la politique est appliquée. Si ce n'est pas le cas, le plan de sauvegarde peut démarrer avec succès les tâches de sauvegarde, mais celles-ci échoueront.
+ Spécifiez une ou plusieurs paires constituées d'une **Clé de balise de ressource** et de **Valeurs de balises** pour identifier les ressources que vous voulez sauvegarder. S'il y a plus d'une valeur de balise, ces valeurs doivent être séparées par des virgules.
Choisissez **Ajouter une affectation** pour ajouter chaque affectation de ressources configurée au plan de sauvegarde.
Pour de plus amples informations, consultez [Affecter des ressources à un plan de sauvegarde](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-scheduled-backup.html#assign-resources-to-plan) dans le *Guide du développeur AWS Backup *.
1. Lorsque vous avez terminé la création de votre politique, choisissez **Créer la politique**. La politique apparaît dans votre liste des politiques de sauvegarde disponibles.
------
#### [ AWS CLI & AWS SDKs ]
**Pour créer une politique de sauvegarde**
Vous pouvez utiliser l'une des méthodes suivantes pour créer une politique de sauvegarde :
+ AWS CLI : [create-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/create-policy.html)
Créez un plan de sauvegarde sous la forme d'un texte JSON similaire à ce qui suit et stockez-le dans un fichier texte. Pour obtenir des règles complètes pour la syntaxe, consultez [Syntaxe et exemples d'une politique de sauvegarde](orgs_manage_policies_backup_syntax.md).
```
{
"plans": {
"PII_Backup_Plan": {
"regions": { "@@assign": [ "ap-northeast-2", "us-east-1", "eu-north-1" ] },
"rules": {
"Hourly": {
"schedule_expression": { "@@assign": "cron(0 5/1 ? * * *)" },
"start_backup_window_minutes": { "@@assign": "480" },
"complete_backup_window_minutes": { "@@assign": "10080" },
"lifecycle": {
"move_to_cold_storage_after_days": { "@@assign": "180" },
"delete_after_days": { "@@assign": "270" }
},
"target_backup_vault_name": { "@@assign": "FortKnox" },
"copy_actions": {
"arn:aws:backup:us-east-1:$account:backup-vault:secondary-vault": {
"lifecycle": {
"move_to_cold_storage_after_days": { "@@assign": "10" },
"delete_after_days": { "@@assign": "100" }
}
}
}
}
},
"selections": {
"tags": {
"datatype": {
"iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" },
"tag_key": { "@@assign": "dataType" },
"tag_value": { "@@assign": [ "PII" ] }
}
}
}
}
}
}
```
Ce plan de sauvegarde indique que AWS Backup doit sauvegarder toutes les ressources concernées Comptes AWS qui se trouvent dans le champ spécifié Régions AWS et dont la balise `dataType` a une valeur de`PII`.
Ensuite importez le fichier de politique JSON contenant le plan de sauvegarde pour créer une nouvelle politique dans l'organisation. Notez l'ID de politique à la fin de l'ARN de politique dans la sortie.
```
$ aws organizations create-policy \
--name "MyBackupPolicy" \
--type BACKUP_POLICY \
--description "My backup policy" \
--content file://policy.json{
"Policy": {
"PolicySummary": {
"Arn": "arn:aws:organizations::o-aa111bb222:policy/backup_policy/p-i9j8k7l6m5",
"Description": "My backup policy",
"Name": "MyBackupPolicy",
"Type": "BACKUP_POLICY"
}
"Content": "...a condensed version of the JSON policy document you provided in the file...",
}
}
```
+ AWS SDKs: [CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)
------
## Création d'une politique en matière de balises
**Autorisations minimales**
Pour créer des politiques de balises, vous avez besoin d'une autorisation pour effectuer l'action suivante :
`organizations:CreatePolicy`
Vous pouvez créer une politique en matière de AWS Management Console balises de deux manières :
+ Un éditeur visuel qui vous permet de choisir des options et de générer le texte de politique JSON pour vous.
+ Un éditeur de texte qui vous permet de créer directement le texte de politique JSON.
L'éditeur visuel facilite le processus, mais limite votre flexibilité. C'est un excellent moyen de créer vos premières politiques et de les utiliser facilement. Une fois que vous avez compris leur fonctionnement et que vous avez commencé à éprouver les limites de l'éditeur visuel, vous pouvez ajouter des fonctionnalités avancées à vos politiques en modifiant vous-même le texte de la politique JSON. L'éditeur visuel utilise uniquement l'[opérateur de réglage de valeur @@assign](policy-operators.md#value-setting-operators) et ne fournit aucun accès aux [opérateurs de contrôle enfants](policy-operators.md#child-control-operators). Vous pouvez ajouter les opérateurs de contrôle enfants uniquement si vous modifiez manuellement le texte de la politique JSON.
------
#### [ AWS Management Console ]
Vous pouvez créer une politique en matière de AWS Management Console balises de deux manières :
+ Un éditeur visuel qui vous permet de choisir des options et de générer le texte de politique JSON pour vous.
+ Un éditeur de texte qui vous permet de créer directement le texte de politique JSON.
L'éditeur visuel facilite le processus, mais limite votre flexibilité. C'est un excellent moyen de créer vos premières politiques et de les utiliser facilement. Une fois que vous avez compris leur fonctionnement et que vous avez commencé à éprouver les limites de l'éditeur visuel, vous pouvez ajouter des fonctionnalités avancées à vos politiques en modifiant vous-même le texte de la politique JSON. L'éditeur visuel utilise uniquement l'[opérateur de réglage de valeur @@assign](policy-operators.md#value-setting-operators) et ne fournit aucun accès aux [opérateurs de contrôle enfants](policy-operators.md#child-control-operators). Vous pouvez ajouter les opérateurs de contrôle enfants uniquement si vous modifiez manuellement le texte de la politique JSON.
**Pour créer une politique de balises**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Dans la page **[Politiques de balises](https://console.aws.amazon.com/organizations/v2/home/policies/tag-policy)**, choisissez **Créer une politique**.
1. Dans la page **Créer une politique**, saisissez un ****Nom de politique**** et une **description** facultative pour la politique.
1. (Facultatif) Vous pouvez ajouter une ou plusieurs balises à l'objet de politique lui-même. Ces balises ne font pas partie de la politique. Pour cela, choisissez **Ajouter une balise**, puis saisissez une clé et éventuellement une valeur. Laisser la valeur vide la définit à une chaîne vide ; elle ne prend pas la valeur `null`. Vous pouvez attacher jusqu'à 50 balises à une politique. Pour de plus amples informations, consultez [Ressources de balisage AWS OrganizationsConsidérations](orgs_tagging.md).
1. Vous pouvez créer la politique de balises à l'aide de l'**éditeur visuel**, comme décrit dans cette procédure. Vous pouvez également saisir ou coller une politique de balises dans l'onglet **JSON**. Pour de plus amples informations sur la syntaxe des politiques de balises, consultez [Syntaxe des politiques de balises](orgs_manage_policies_example-tag-policies.md#tag-policy-syntax-reference).
Si vous choisissez d'utiliser l'**éditeur visuel**, spécifiez les éléments suivants :
1. Pour **Nouvelle clé de balise 1**, spécifiez le nom d'une clé de balise à ajouter.
1. Pour les **options de conformité**, vous pouvez sélectionner les options suivantes :
1. **Utilisez la capitalisation que vous avez spécifiée ci-dessus pour la clé de balise**. Laissez cette option désactivée (valeur par défaut) pour spécifier que la politique de balise parent héritée, le cas échéant, doit définir le traitement au cas par cas pour la clé de balise.
Cochez cette option si vous souhaitez exiger une capitalisation spécifique pour la clé de balise à l'aide de cette politique. Si vous cochez cette case, la capitalisation que vous avez spécifiée pour la **clé de balise** remplace le traitement de la casse spécifié dans une politique parente héritée.
Si aucune politique parente n'existe et que vous ne sélectionnez pas cette option, seules les clés de balise ne comportant que des caractères minuscules sont considérées comme conformes. Pour de plus amples informations sur l'héritage des politiques parentes, consultez [Fonctionnement de l'héritage des politiques de gestion](orgs_manage_policies_inheritance_mgmt.md).
**Astuce**
Envisagez d'utiliser l'exemple de politique de balises fourni sous la rubrique [Exemple 1 : Définition d'une casse de clé de balise à l'échelle de l'organisation](orgs_manage_policies_example-tag-policies.md#tag-policy-example-key-case) pour vous aider à créer une politique de balises qui définit des clés de balise et leur traitement de la casse. Attachez-la à la racine de l'organisation. Plus tard, vous pourrez créer et associer des politiques de balisage supplémentaires à des comptes OUs ou à des comptes afin de créer des règles de balisage supplémentaires.
1. **Spécifiez les valeurs autorisées pour cette clé de balise** : activez cette option si vous souhaitez ajouter des valeurs autorisées pour cette clé de balise à toutes les valeurs héritées d'une politique parent.
Par défaut, cette case est désactivée, ce qui signifie que seules les valeurs héritées d'une politique parente sont considérées comme conformes. Si aucune politique parente n'existe ou ne spécifie de valeurs de balise, toutes les valeurs (y compris aucune valeur) sont considérées comme conformes.
Pour mettre à jour la liste des valeurs de balise admises, sélectionnez **Spécifier des valeurs admises pour cette clé de balise**, puis **Spécifier des valeurs**. Lorsque vous y êtes invité, entrez les nouvelles valeurs (une par case) et choisissez **Enregistrer les modifications**.
1. Pour les **types de ressources à appliquer**, vous pouvez sélectionner **Empêcher les opérations non conformes pour cette balise**.
Nous vous recommandons de laisser cette option désactivée (par défaut), sauf si vous êtes habitué à utiliser les politiques relatives aux balises. Veillez à consulter les recommandations de la rubrique [Renforcez la cohérence du balisage](orgs_manage_policies_tag-policies-enforcement.md) et procédez à des tests minutieux. Sinon, vous risquez d'empêcher des utilisateurs de comptes de votre organisation de baliser les ressources dont ils ont besoin.
Si vous souhaitez appliquer la conformité à cette clé de balise, cochez la case, puis sélectionnez **Spécifier les valeurs admises**. Lorsque vous y êtes invité, sélectionnez les types de ressources à inclure dans la politique. Ensuite, choisissez **Enregistrer les modifications**.
**Important**
Lorsque vous sélectionnez cette option, toutes les opérations qui manipulent des balises pour des ressources dont le type est spécifié ne réussissent que si l'opération aboutit à des balises conformes à la politique.
1. (Facultatif) Pour ajouter une autre clé de balise à cette politique de balises, choisissez **Ajouter une clé de balise**. Ensuite, effectuez les étapes 6 à 9 pour définir la clé de balise.
1. Lorsque vous avez terminé de créer votre politique de balises, choisissez **Enregistrer les modifications**.
------
#### [ AWS CLI & AWS SDKs ]
**Pour créer une politique de balises**
Vous pouvez utiliser l'une des méthodes suivantes pour créer une politique de balises :
+ AWS CLI : [create-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/create-policy.html)
Vous pouvez utiliser un éditeur de texte quelconque pour créer une politique de balises. Utilisez la syntaxe JSON et enregistrez la politique de balises dans un fichier portant un nom et une extension quelconque à l'emplacement de votre choix. Les politiques de balises peuvent comporter un maximum de 2 500 caractères, espaces inclus. Pour de plus amples informations sur la syntaxe des politiques de balises, consultez [Syntaxe des politiques de balises](orgs_manage_policies_example-tag-policies.md#tag-policy-syntax-reference).
**Pour créer une politique de balises**
1. Créez dans un fichier texte une politique de balises semblable à la suivante :
Contenu de `testpolicy.json` :
```
{
"tags": {
"CostCenter": {
"tag_key": {
"@@assign": "CostCenter"
}
}
}
}
```
Cette politique de balises définit la clé de balise `CostCenter`. La balise peut accepter n'importe quelle valeur ou aucune valeur. Une telle politique signifie qu'une ressource à laquelle le CostCenter tag est attaché avec ou sans valeur est conforme.
1. Créez une politique avec le contenu de politique figurant dans le fichier. Un espace blanc supplémentaire dans la sortie a été tronqué pour plus de lisibilité.
```
$ aws organizations create-policy \
--name "MyTestTagPolicy" \
--description "My Test policy" \
--content file://testpolicy.json \
--type TAG_POLICY
{
"Policy": {
"PolicySummary": {
"Id": "p-a1b2c3d4e5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-a1b2c3d4e5",
"Name": "MyTestTagPolicy",
"Description": "My Test policy",
"Type": "TAG_POLICY",
"AwsManaged": false
},
"Content": "{\n\"tags\":{\n\"CostCenter\":{\n\"tag_key\":{\n\"@@assign\":\"CostCenter\"\n}\n}\n}\n}\n\n"
}
}
```
+ AWS SDKs: [CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)
------
## Création d'une politique pour les applications de chat
**Autorisations minimales**
Pour créer une politique d'applications de chat, vous devez être autorisé à exécuter l'action suivante :
`organizations:CreatePolicy`
------
#### [ AWS Management Console ]
Vous pouvez créer une politique pour les applications AWS Management Console de chat de deux manières :
+ Un éditeur visuel qui vous permet de choisir des options et de générer le texte de politique JSON pour vous.
+ Un éditeur de texte qui vous permet de créer directement le texte de politique JSON.
L'éditeur visuel facilite le processus, mais limite votre flexibilité. C'est un excellent moyen de créer vos premières politiques et de les utiliser facilement. Une fois que vous avez compris leur fonctionnement et que vous avez commencé à éprouver les limites de l'éditeur visuel, vous pouvez ajouter des fonctionnalités avancées à vos politiques en modifiant vous-même le texte de la politique JSON. L'éditeur visuel utilise uniquement l'[opérateur de réglage de valeur @@assign](policy-operators.md#value-setting-operators) et ne fournit aucun accès aux [opérateurs de contrôle enfants](policy-operators.md#child-control-operators). Vous pouvez ajouter les opérateurs de contrôle enfants uniquement si vous modifiez manuellement le texte de la politique JSON.
**Pour créer une politique en matière d'applications de chat**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Sur la page des **[politiques du Chatbot](https://console.aws.amazon.com/organizations/v2/home/policies/chatbot-policy)**, choisissez **Créer une** politique.
1. Sur la [page de stratégie de **création de nouvelles applications de chat**](https://console.aws.amazon.com/organizations/v2/home/policies/chatbot-policy/create), entrez le **nom de la politique** et une **description de la politique** facultative.
1. (Facultatif) Vous pouvez ajouter une ou plusieurs balises à la politique en choisissant **Ajouter une balise**, puis en saisissant une clé et éventuellement une valeur. Laisser la valeur vide la définit à une chaîne vide ; elle ne prend pas la valeur `null`. Vous pouvez attacher jusqu'à 50 balises à une politique. Pour de plus amples informations, veuillez consulter [Ressources de balisage AWS OrganizationsConsidérations](orgs_tagging.md).
1. Vous pouvez créer la politique à l'aide de l'**Éditeur visuel**, de la manière décrite dans cette procédure. Vous pouvez également taper ou coller du texte de politique dans l'onglet **JSON**. Pour plus d'informations sur la syntaxe des politiques des applications de chat, consultez[Syntaxe de politique des applications de chat et exemples](orgs_manage_policies_chatbot_syntax.md).
Si vous choisissez d'utiliser l'**éditeur visuel**, configurez la politique de vos applications de chat en spécifiant les contrôles d'accès pour les clients de chat.
1. Choisissez l'une des options suivantes pour **configurer l'accès au client de chat Amazon Chime**
+ Refusez l'accès au carillon.
+ Autoriser l'accès à Chime.
1. Choisissez l'une des options suivantes pour **définir l'accès au client de chat Microsoft Teams**
+ Refuser l'accès à toutes les équipes
+ Autoriser l'accès à toutes les équipes
+ Restreindre l'accès aux équipes nommées
1. Choisissez l'une des options suivantes pour **configurer l'accès au client de chat Slack**
+ Refuser l'accès à tous les espaces de travail Slack
+ Autoriser l'accès à tous les espaces de travail Slack
+ Restreindre l'accès aux espaces de travail Slack nommés
**Note**
En outre, vous pouvez sélectionner **Limiter l'utilisation d'Amazon Q Developer dans les applications de chat aux seules chaînes privées de Slack**.
1. Sélectionnez les options suivantes pour **définir les types d'autorisations IAM**
+ **Activer le rôle IAM au niveau de la chaîne** : tous les membres de la chaîne partagent les autorisations du rôle IAM pour exécuter des tâches dans une chaîne. Un rôle de chaîne est approprié si les membres de la chaîne ont besoin des mêmes autorisations.
+ **Activer le rôle IAM au niveau de l'utilisateur** : les membres de la chaîne doivent choisir un rôle d'utilisateur IAM pour effectuer des actions (nécessite un accès à la console pour choisir les rôles). Les rôles d'utilisateur sont appropriés si les membres de la chaîne ont besoin d'autorisations différentes et peuvent choisir leurs rôles d'utilisateur.
1. Lorsque vous avez terminé la création de votre politique, choisissez **Créer la politique**. La politique apparaît dans votre liste de politiques de sauvegarde du chatbot.
------
#### [ AWS CLI & AWS SDKs ]
**Pour créer une politique en matière d'applications de chat**
Vous pouvez utiliser l'une des méthodes suivantes pour créer une politique d'applications de chat :
+ AWS CLI : [create-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/create-policy.html)
Vous pouvez utiliser n'importe quel éditeur de texte pour créer une politique d'applications de chat. Utilisez la syntaxe JSON et enregistrez la politique des applications de chat sous forme de fichier avec le nom et l'extension de votre choix à l'emplacement de votre choix. Les politiques relatives aux applications de chat peuvent comporter un maximum de ? caractères, y compris les espaces. Pour de plus amples informations sur la syntaxe des politiques de balises, consultez [Syntaxe de politique des applications de chat et exemples](orgs_manage_policies_chatbot_syntax.md).
**Pour créer une politique en matière d'applications de chat**
1. Créez une politique d'applications de chat dans un fichier texte similaire à ce qui suit :
Contenu de `testpolicy.json` :
```
{
"chatbot": {
"platforms": {
"slack": {
"client": {
"@@assign": "enabled"
},
"workspaces": {
"@@assign": [
"Slack-Workspace-Id"
]
},
"default": {
"supported_channel_types": {
"@@assign": [
"private"
]
}
}
},
"microsoft_teams": {
"client": {
"@@assign": "disabled"
}
}
}
}
}
```
Cette politique relative aux applications de chat autorise uniquement les chaînes privées Slack dans un espace de travail spécifique, désactive Microsoft Teams et prend en charge tous les paramètres de [rôle](https://docs.aws.amazon.com/chatbot/latest/adminguide/understanding-permissions.html#role-settings).
1. Créez une politique avec le contenu de politique figurant dans le fichier. Un espace blanc supplémentaire dans la sortie a été tronqué pour plus de lisibilité.
```
$ aws organizations create-policy \
--name "MyTestChatbotPolicy" \
--description "My Test policy" \
--content file://testpolicy.json \
--type CHATBOT_POLICY
{
"Policy": {
"PolicySummary": {
"Id": "p-a1b2c3d4e5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/chatbot_policy/p-a1b2c3d4e5",
"Name": "MyTestChatApplicationsPolicy",
"Description": "My Test policy",
"Type": "CHATBOT_POLICY",
"AwsManaged": false
},
"Content": "{"chatbot":{"platforms":{"slack":{"client":{"@@assign":"enabled"},"workspaces":{"@@assign":["Slack-Workspace-Id"]},"supported_channel_types":{"@@assign":["private"]}},"microsoft_teams":{"client":{"@@assign":"disabled"}}}}}"
}
}
```
+ AWS SDKs: [CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)
------
## Créer une politique de désinscription des services d'IA
**Autorisations minimales**
Pour créer une politique de désactivation des services IA, vous devez disposer de l'autorisation d'exécuter l'action suivante :
`organizations:CreatePolicy`
------
#### [ AWS Management Console ]
**Pour créer une politique de désactivation des services IA**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Sur la page **[Politiques de désactivation des services IA](https://console.aws.amazon.com/organizations/v2/home/policies/aiservices-opt-out-policy)** choisissez **Créer une politique**.
1. Dans la page [https://console.aws.amazon.com/organizations/v2/home/policies/aiservices-opt-out-policy/create](https://console.aws.amazon.com/organizations/v2/home/policies/aiservices-opt-out-policy/create), saisissez un **Nom de politique** et éventuellement une **description de la politique**.
1. (Facultatif) Vous pouvez ajouter une ou plusieurs balises à la politique en choisissant **Ajouter une balise**, puis en saisissant une clé et éventuellement une valeur. Laisser la valeur vide la définit à une chaîne vide ; elle ne prend pas la valeur `null`. Vous pouvez attacher jusqu'à 50 balises à une politique. Pour de plus amples informations, consultez [Ressources de balisage AWS OrganizationsConsidérations](orgs_tagging.md).
1. Saisissez ou collez le texte de la politique dans l'onglet **JSON**. Pour plus d'informations sur la syntaxe des politiques de désactivation des services IA, consultez [Syntaxe des politiques de désactivation des services IA et exemples](orgs_manage_policies_ai-opt-out_syntax.md). Pour obtenir des exemples de politiques que vous pouvez utiliser comme point de départ, consultez [Exemples de politique de désactivation des services IA](orgs_manage_policies_ai-opt-out_syntax.md#ai-opt-out-policy-examples).
1. Lorsque vous avez terminé la modification de votre politique, choisissez **Créer la politique** dans l'angle inférieur droit de la page.
------
#### [ AWS CLI & AWS SDKs ]
**Pour créer une politique de désactivation des services IA**
Vous pouvez utiliser l'une des commandes suivantes pour créer une politique de balises :
+ AWS CLI : [create-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/create-policy.html)
1. Créez une politique de désactivation des services IA comme ci-dessous et stockez-la dans un fichier texte. Notez que « `optOut` » et « `optIn` » sont sensibles à la casse.
```
{
"services": {
"default": {
"opt_out_policy": {
"@@assign": "optOut"
}
},
"rekognition": {
"opt_out_policy": {
"@@assign": "optIn"
}
}
}
}
```
Cette politique de désactivation des services IA spécifie que tous les comptes concernés par la politique sont exclus de tous les services IA, à l'exception d'Amazon Rekognition.
1. Importez le fichier de politique JSON pour créer une nouvelle politique dans l'organisation. Dans cet exemple, le fichier JSON précédent était nommé `policy.json`.
```
$ aws organizations create-policy \
--type AISERVICES_OPT_OUT_POLICY \
--name "MyTestPolicy" \
--description "My test policy" \
--content file://policy.json
{
"Policy": {
"Content": "{\"services\":{\"default\":{\"opt_out_policy\":{\"@@assign\":\"optOut\"}},\"rekognition\":{\"opt_out_policy\":{\"@@assign\":\"optIn\"}}}}",
"PolicySummary": {
"Id": "p-i9j8k7l6m5"
"Arn": "arn:aws:organizations::o-aa111bb222:policy/aiservices_opt_out_policy/p-i9j8k7l6m5",
"Description": "My test policy",
"Name": "MyTestPolicy",
"Type": "AISERVICES_OPT_OUT_POLICY"
}
}
}
```
+ AWS SDKs: [CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)
------
## Création d'une politique de déploiement des mises à niveau
**Autorisations minimales**
Pour créer une politique de déploiement des mises à niveau, vous devez être autorisé à exécuter l'action suivante :
`organizations:CreatePolicy`
------
#### [ AWS Management Console ]
**Pour créer une politique de déploiement des mises à niveau**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Sur la page **[Politiques de déploiement de la mise](https://console.aws.amazon.com/organizations/v2/home/policies/upgrade-rollout-policy)** à niveau, choisissez **Créer une politique**.
1. Sur la [page **Créer une nouvelle politique de déploiement de mise à niveau**](https://console.aws.amazon.com/organizations/v2/home/policies/declarative-policy-ec2/create), entrez le **nom de la politique** et une **description de la politique** facultative.
1. (Facultatif) Vous pouvez ajouter une ou plusieurs balises à la politique en choisissant **Ajouter une balise**, puis en saisissant une clé et éventuellement une valeur. Laisser la valeur vide la définit à une chaîne vide ; elle ne prend pas la valeur `null`. Vous pouvez attacher jusqu'à 50 balises à une politique. Pour de plus amples informations, veuillez consulter [Ressources de balisage AWS OrganizationsConsidérations](orgs_tagging.md).
1. Vous pouvez créer la politique à l'aide de l'**Éditeur visuel**, de la manière décrite dans cette procédure. Vous pouvez également taper ou coller du texte de politique dans l'onglet **JSON**. Pour de plus amples informations, veuillez consulter [Syntaxe et exemples de politique de déploiement des mises à niveau](orgs_manage_policies_upgrade_syntax.md).
Si vous choisissez d'utiliser l'**éditeur visuel**, sélectionnez l'ordre de mise à niveau que vous souhaitez utiliser pour votre politique de déploiement des mises à niveau. Pour plus d'informations sur les commandes de surclassement, consultez[Quelles sont les politiques de déploiement des mises à niveau ?](orgs_manage_policies_upgrade_rollout.md#orgs_manage_policies_upgrade_rollout_what_are).
1. Sous **Ordre des politiques et ressources**, sélectionnez **Premier**, **Deuxième** ou **Dernier** dans le menu.
1. (Facultatif) Pour cibler des ressources individuelles avec cette politique, sélectionnez **Remplacer des ressources spécifiques**, puis procédez comme suit :
1. Dans **Clé**, entrez le nom de la ressource que vous souhaitez remplacer.
1. Dans **Valeur**, entrez l'ARN de la ressource.
1. Dans **Ordre de mise à niveau**, choisissez l'ordre préféré qui doit être appliqué à cette ressource.
1. Si des ressources supplémentaires doivent être spécifiées, choisissez **Ajouter une balise**, puis répétez les étapes précédentes pour définir la clé de balise.
1. Lorsque vous avez terminé la modification de votre politique, choisissez **Créer la politique** dans l'angle inférieur droit de la page.
Votre nouvelle politique apparaît dans la liste des politiques de déploiement des mises à niveau. Vous pouvez désormais [associer votre politique à la racine ou aux comptes](orgs_policies_attach.md). OUs
------
#### [ AWS CLI & AWS SDKs ]
**Pour créer une politique de déploiement des mises à niveau**
Vous pouvez utiliser l'une des méthodes suivantes pour créer une politique de déploiement des mises à niveau :
+ AWS CLI : [create-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/create-policy.html)
1. Créez une politique de déploiement de mise à niveau comme celle ci-dessous, et stockez-la dans un fichier texte.
```
{
"upgrade_rollout": {
"default": {
"patch_order": {
"@@assign": "last"
}
},
"tags": {
"my_patch_order_tag": {
"tag_values": {
"tag1": {
"patch_order": {
"@@assign": "first"
}
},
"tag2": {
"patch_order": {
"@@assign": "second"
}
},
"tag3": {
"patch_order": {
"@@assign": "last"
}
}
}
}
}
}
}
```
Cette politique de déploiement des mises à niveau définit l'ordre dans lequel les AWS services appliquent les mises à niveau automatiques à l'ensemble de vos ressources. Pour plus d'informations sur la syntaxe de la politique de déploiement des mises à niveau, consultez[Syntaxe et exemples de politique de déploiement des mises à niveau](orgs_manage_policies_upgrade_syntax.md).
1. Importez le fichier de politique JSON pour créer une nouvelle politique dans l'organisation. Dans cet exemple, le fichier JSON précédent était nommé `policy.json`.
```
$ aws organizations create-policy \
--type UPGRADE_ROLLOUT_POLICY \
--name "MyTestPolicy" \
--description "My test policy" \
--content file://policy.json
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/upgrade_rollout_policy/p-i9j8k7l6m5",
"Name": "MyTestPolicy",
"Description": "My test policy",
"Type": "UPGRADE_ROLLOUT_POLICY",
"AwsManaged": false
},
"Content": "{\n \"upgrade_rollout\": {\n \"default\": {\n \"patch_order\": {\n \"@@assign\": \"last\"\n }\n },\n \"tags\": {\n \"my_patch_order_tag\": {\n \"tag_values\": {\n \"tag1\": {\n \"patch_order\": {\n \"@@assign\": \"first\"\n }\n },\n \"tag2\": {\n \"patch_order\": {\n \"@@assign\": \"second\"\n }\n },\n \"tag3\": {\n \"patch_order\": {\n \"@@assign\": \"last\"\n }\n }\n }\n }\n }\n }\n}\n"
}
}
```
+ AWS SDKs: [CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)
------
## Création d'une politique Security Hub
**Autorisations minimales**
Pour créer une politique Security Hub, vous devez être autorisé à exécuter l'action suivante :
`organizations:CreatePolicy`
------
#### [ AWS Management Console ]
**Pour créer une politique Security Hub**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Sur la page des **[politiques du Security Hub](https://console.aws.amazon.com/organizations/v2/home/policies/securityhub-policy)**, choisissez **Create policy**.
1. Sur la [page **Create new Security Hub policy**](https://console.aws.amazon.com/organizations/v2/home/policies/securityhub-policy/create), entrez le **nom de la politique** et une **description de la politique** facultative.
1. (Facultatif) Vous pouvez ajouter une ou plusieurs balises à la politique en choisissant **Ajouter une balise**, puis en saisissant une clé et éventuellement une valeur. Laisser la valeur vide la définit à une chaîne vide ; elle ne prend pas la valeur `null`. Vous pouvez attacher jusqu'à 50 balises à une politique. Pour de plus amples informations, veuillez consulter [Ressources de balisage AWS OrganizationsConsidérations](orgs_tagging.md).
1. Entrez ou collez le texte de la politique dans la zone de code JSON. Pour plus d'informations sur la syntaxe de la politique Security Hub, consultez[Syntaxe et exemples de politiques du Security Hub](orgs_manage_policies_security_hub_syntax.md). Pour obtenir des exemples de politiques que vous pouvez utiliser comme point de départ, consultez [Exemples de politiques relatives au Security Hub](orgs_manage_policies_security_hub_syntax.md#security-hub-policy-examples).
1. Lorsque vous avez terminé la modification de votre politique, choisissez **Créer la politique** dans l'angle inférieur droit de la page.
------
#### [ AWS CLI & AWS SDKs ]
**Pour créer une politique Security Hub**
Vous pouvez utiliser l'une des méthodes suivantes pour créer une politique Security Hub :
+ AWS CLI : [create-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/create-policy.html)
**Exemple : créer une politique qui active Security Hub dans toutes les régions prises en charge**
L'exemple suivant suppose que vous disposez d'un fichier nommé `testPolicy_enableAllSupportedRegions.json` contenant le texte de politique JSON. Il utilise ce fichier pour créer une nouvelle politique Security Hub.
```
$ aws organizations create-policy \
--content file://./testPolicy_enableAllSupportedRegions.json \
--name "testPolicy_enableAllSupportedRegions" \
--description "Test policy to enable securityhub in ALL_SUPPORTED Regions" \
--type SECURITYHUB_POLICY
{
"Policy": {
"PolicySummary": {
"Id": "p-66ev7hgcvj",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/securityhub_policy/p-66ev7hgcvj",
"Name": "testPolicy_enableAllSupportedRegions",
"Description": "Test policy to enable securityhub in ALL_SUPPORTED Regions",
"Type": "SECURITYHUB_POLICY",
"AwsManaged": false
},
"Content": "{\n \"securityhub\": {\n \"enable_in_regions\": {\n \"@@assign\":[\n \"ALL_SUPPORTED\"\n ]\n },\n \"disable_in_regions\": {\n \"@@assign\":[]\n }\n }\n}\n"
}
}
```
**Exemple : créer une politique qui active Security Hub dans toutes les régions prises en charge, mais qui le désactive dans la région us-east-1**
L'exemple suivant suppose que vous disposez d'un fichier nommé `testPolicy_enableAllSupportedRegions_Disable_us-east-1.json` contenant le texte de politique JSON. Il utilise ce fichier pour créer une nouvelle politique Security Hub.
```
$ aws organizations create-policy \
--content file://./testPolicy_enableAllSupportedRegions_Disable_us-east-1.json \
--name "testPolicy_enableAllSupportedRegions_Disable_us-east-1" \
--description "Test policy to enable securityhub in ALL_SUPPORTED Regions but disable in us-east-1 Region" \
--type SECURITYHUB_POLICY
{
"Policy": {
"PolicySummary": {
"Id": "p-66217dwpos",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/securityhub_policy/p-66217dwpos",
"Name": "testPolicy_enableAllSupportedRegions_Disable_us-east-1",
"Description": "Test policy to enable securityhub in ALL_SUPPORTED Regions but disable in us-east-1 Region",
"Type": "SECURITYHUB_POLICY",
"AwsManaged": false
},
"Content": "{\n \"securityhub\": {\n \"enable_in_regions\": {\n \"@@assign\":[\n \"ALL_SUPPORTED\"\n ]\n },\n \"disable_in_regions\": {\n \"@@assign\":[\n \"us-east-1\"\n ]\n }\n }\n}\n"
}
}
```
+ AWS SDKs: [CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)
------